1、系统日志管理
后台程序(通常被称为守护进程或服务进程)处理了linux系统的大部分任务,日志是记录这些进程的详细信息和错误信息的文件
var/log/messages ##记录系统中所产生的日志
查看sshd服务产生的日志
vim /etc/ssh/sshd_config
编辑错误信息 restart服务后
systemctl status sshd
"tail /var/log/messages"可以看到sshd服务错误的日志
2、rsyslogd服务
1)rsyslogd管理
vim /etc/rsyslog.conf
/var/log/messages ##服务信息日志(记录linux操作系统常见的服务信息和错误信息)
/var/log/secure ##系统的登陆日志(记录用户和工作组的变化情况,是系统安全日志,用户的认证登陆情况
/var/log/maillog ##邮件日志
/var/log/cron ##定时任务
/var/log/boot.log ##系统启动日志
2)日志类型
auth ##用户认证时产生的日志 login su 命令
authpriv ##ssh ftp等登陆服务的验证信息
cron ##与时间任务相关
kern ##系统内核消息
lper ##与打印机活动有关
mail ##邮件日志
mark ##服务内部的信息,是时间标识(产生时间戳)
user ##用于用户程序产生的相关信息
uucp ##unix to unix copy unix主机之间相关的通信
news.crit ##新闻组(网络新闻传输协议nntp产生的信息)
3)日志级别(级别从低到高,记录的信息越来越少)
debug ##包括调试信息,信息最多
info ##一般信息日志,最常用
notice ##最具有重要性的普通条件信息(不是错误,但是需要处理)
warning ##警告
err ##一般错误
crit ##严重错误
alert ##需要立即修改的信息(数据库损坏)
emerg ##内核崩溃
none ##什么都不记录
4)创建一个日志
vim /etc/rsyslog.conf
55行
*.* /var/log/westos ##创建一个记录所有进程的文件
2、日志的远程同步
日志的发送方
vim /etc/rsyslog.conf
51行
*.* @接收方ip
@:udp协议发送 @@:tcp协议发送
systemctl restart rsyslog.service
日志的接收方
15行
$ModLoad imudp ##日志的接受模块
16行
$UDPServerRun 514 ##开启接收端口
systemctl restart rsyslog.service
同步前需要先关闭防火墙并关闭自启动
systemctl stop firewalld.service
systemctl disable firewalld.service
在接收方清空日志文件:>/var/log/messages
发送方
logger test
cat /var/log/messages ##查看日志是否生成
接收方
tail -f /var/log/messages ##动态监控系统日志的末尾
6)日志采集格式
在日志的接收方 vim /etc/rsyslog.conf
51行 添加 $template LOGFMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
在日志文件后添加LOGFMT
*.* /var/log/westos;LOGFMT
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机IP
%syslogtag% ##日志记录目标
%msg% ##日志内容
3、时间同步服务
服务器端:
vim /etc/chrony.conf
22行
allow 网段(172.25.254.0/24) ##允许某一网段的客户端来同步本机的时间
29行
local stratum 10 ##本机不同步任何主机的时间,本机作为时间源
systemctl restart chronyd.service
客户端:
vim /etc/chrony.conf
3行
server 服务器ip iburst ##本机同步某一主机的时间
systemctl restart chronyd.service ##重启chronyd服务
chronyc sources -v ##查看同步的主机ip
**管理系统的时间
timedatextl status ##显示当前时间的信息
timedatectl set-time "当前时间" ##设定时间
timedatectl set-timezone ##设定当前时区
timedatectl list-timezones ##查看支持的所有时区
timedatectl set-local-rtc 1 ##将硬件时钟设置为本地时区
timedatectl set-local-rtc 0 ##将硬件时钟设置为UTC
4、journald服务
journalctl ##查看全部日志内容
journalctl -n 3 ##查看最近3条日志
journalctl -p err ##查看错误日志
journalctl --since '时间' --until '时间' ##查看从某时间开始到某时间结束的日志
systemd-journald是不保存日志到内存的
如何实现保存断电前的日志
mkdir /var/log/journal ##创建一个journal的目录
chgrp systemd-journal /var/log/journal/ ##改变其所属组为systemd-journald服务
chmod g+s /var/log/journal/ ##给文件添加强制位特殊权限
killall -1 systemd-journal ##使服务重新运行
可以看到创建创建目录的时间,这个目录创建时间起所有的日志都会被保存,实现了断电前的日志保存